بسم الله الرحمن الرحيم
الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم
السلام عليكم ورحمة الله
برامج التجسس scranos rootkit
اكتشاف برامج التجسس الجديدة المتطورة
تم اكتشاف عملية جديدة قوية لبرامج التجسس تدعم الجذور الخفية حيث يقوم المتسللون بتوزيع برامج ضارة متعددة الوظائف متنكرة في صورة برامج متشققة أو تطبيقات طروادة تمثل برامج شرعية مثل مشغلات الفيديو وبرامج التشغيل وحتى منتجات مكافحة الفيروسات.
في حين أن البرمجيات الخبيثة rootkit - التي تمت تسميتها Scranos - والتي تم اكتشافها لأول مرة في أواخر العام الماضي ، لا يزال يبدو أنها قيد التقدم ، فهي تتطور باستمرار ، وتختبر مكونات جديدة وتحسن بانتظام المكونات القديمة ، مما يجعلها تهديدًا كبيرًا.
يتميز Scranos بتصميم معياري اكتسب بالفعل إمكانيات لسرقة بيانات اعتماد تسجيل الدخول وحسابات الدفع من مختلف الخدمات الشائعة ، وتعرض سجل التصفح وملفات تعريف الارتباط ، والحصول على مشتركي YouTube ، والإعلانات المصوّرة ، بالإضافة إلى تنزيل وتنفيذ أي حمولة.
وفقًا لتقرير متعمق من 48 صفحة ، تمت مشاركة Bitdefender قبل صدوره ، فإن البرمجيات الضارة تكتسب ثباتًا على الأجهزة المصابة عن طريق تثبيت برنامج تشغيل rootkit موقع رقميًا.
يعتقد الباحثون أن المهاجمين حصلوا على شهادة التوقيع الرقمي الصحيحة بشكل احتيالي ، والتي صدرت في الأصل لشركة Yun Yu Health Management Consulting (Shanghai) Co.، Ltd. ولم يتم إلغاؤها في وقت كتابة هذا التقرير.
يقول الباحثون: "يقوم برنامج rootkit بتسجيل رد اتصال إيقاف التشغيل لتحقيق الثبات. عند إيقاف التشغيل ، يتم كتابة برنامج التشغيل على القرص ، ويتم إنشاء مفتاح خدمة لبدء التشغيل في السجل".
عند الإصابة ، تقوم البرامج الضارة لـ rootkit بضخ برنامج التنزيل في عملية شرعية تتصل بعد ذلك بخادم التحكم والتحكم (C&C) الذي يتحكم فيه المهاجم وتنزيل حمولة واحدة أو أكثر.فيما يلي قائمة بأحمال قليلة من البيانات وسرقة
كلمات المرور : حمولة كلمة المرور وسجل التصفح - سرقة البيانات الرئيسية - يسقط القطر الرئيسي ملفات تعريف الارتباط للمتصفح وبيانات اعتماد تسجيل الدخول من Google Chrome و Chromium و Mozilla Firefox والأوبرا و Microsoft Edge و Internet Explorer و Baidu Browser و Yandex . يمكنه أيضًا سرقة ملفات تعريف الارتباط ومعلومات تسجيل الدخول من حسابات الضحايا على Facebook و YouTube و Amazon و Airbnb.
Extension Installer Payload
تقوم هذه الحمولة بتثبيت إضافات الإعلانات في Chrome وحقن الإعلانات الضارة أو المحملة بالبرامج الضارة على جميع صفحات الويب التي يزورها المستخدمون. وجدت بعض العينات أيضًا تثبيت ملحقات مستعرض وهمية ، مثل Chrome Filter و Fierce-tips و PDF Maker.
Steam Data Stealer Payload
يسرق هذا المكون ويرسل بيانات اعتماد حساب Steam ومعلومات الضحايا ، بما في ذلك قائمة التطبيقات والألعاب المثبتة ، بالإضافة إلى الإصدار الثابت ، إلى خادم المهاجم.
تتفاعل البرامج الضارة مع Facebook و YouTube نيابة عن الضحايا
يمكن أن تتفاعل بعض الحمولات الأخرى مع مواقع الويب المختلفة نيابة عن الضحية ، مثل:
حمولة المشتركين في YouTube - هذه الحمولة تتعامل مع صفحات YouTube عن طريق تشغيل Chrome في وضع تصحيح الأخطاء ، وتوجيه المستعرض إلى اتخاذ إجراءات مختلفة على صفحة ويب مثل بدء تشغيل الفيديو ، وكتم صوت الفيديو والاشتراك في قناة والنقر فوق الإعلانات.
الفيسبوك القرصنة
Facebook Spammer Payload
باستخدام ملفات تعريف الارتباط التي تم جمعها وغيرها من الرموز المميزة ، يمكن للمهاجمين أن يطلبوا البرامج الضارة لإرسال طلبات أصدقاء Facebook إلى مستخدمين آخرين. يمكنه أيضًا إرسال رسائل خاصة لأصدقاء الضحية على Facebook مع روابط إلى Android APK الخبيثة.
تطبيق Android Adware - متنكّر في تطبيق "مسح دقيق لرمز الاستجابة السريعة" الشرعي والمتوفر على متجر Google Play ، يعرض تطبيق البرمجيات الخبيثة بقوة الإعلانات ، ويتتبع الضحايا المصابين ويستخدم نفس خادم C&C مثل برامج Windows الضارة.
تعود أقدم عينة من هذه البرامج الضارة إلى نوفمبر 2018 ، مع ارتفاع كبير في ديسمبر ويناير ، ولكن في مارس 2019 ، بدأ Scranos في دفع سلالات أخرى من البرامج الضارة ، والتي يقول الباحثون إنها "مؤشر واضح على أن الشبكة تابعة الآن الجهات الخارجية في أنظمة الدفع لكل تثبيت. "
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))